Quelle conscience avons-nous aujourd’hui de la valeur de nos données et de l’exploitation qui en est faite ? Les citoyens accèdent aujourd’hui à énormément de services grâce à leurs données, sans forcément en avoir conscience. Lorsque nous interagissons avec une application dite « gratuite », ces interactions produisent des données qui constituent le fonds de commerce du fournisseur de l’application. Des photos, des achats, des « likes », autant d’informations que nous livrons sans y penser et avec lesquelles nous « payons » l’accès au service. Pour les jeunes générations, Gen Z ou Millennials, qu’on imagine volontiers les plus conscientes de cette forme de troc numérique, le « deal » n’est globalement pas considéré comme un problème, tant que l’expérience utilisateur est au rendez-vous. D’après une étude récente, la moitié des consommateurs est prête à concéder ses informations en échange de produits ou de services plus efficaces ou plus personnalisés. Cette donnée pourrait néanmoins dans le futur devenir une source de revenus. En Chine, une bourse d’échanges de données permet par exemple aux citoyens de vendre des données personnelles. Certaines start-up tentent également de se positionner sur ce créneau en Europe, mais sans pour l’instant rencontrer un succès notable.
Un nouvel accord Europe-États-Unis
Les entreprises ont bien pris conscience de la valeur de la donnée, au point que certains grands groupes ont intégré un responsable Data dans leur top management. Mais ils ont aussi conscience des enjeux en matière de souveraineté. Car pour exploiter cette donnée, les entreprises travaillent avec les leaders technologiques du marché. La data est dans le cloud, c’est-à-dire dans des datacenters externalisés. Les entreprises européennes doivent être vigilantes quant aux règles d’extraterritorialités qui peuvent venir s’appliquer à leurs données.
D’autant que le cadre réglementaire n’est pas figé. Après l’invalidation du Privacy Shield en 2020, la Commission européenne vient ainsi de valider un nouvel accord d’adéquation qui autorise les transferts de données vers les États-Unis dès lors que l’organisme assure un niveau de protection des données personnelles équivalent à celui de l’Union européenne. « Par cette décision, la Commission décide que les modifications apportées par les États-Unis à leur législation nationale permettent désormais d’assurer un niveau de protection adéquat des données personnelles transférées de l’UE vers les organisations situées aux États-Unis lorsqu’ils font la démarche de respecter ce nouveau « cadre de protection des données » », indique la CNIL.
À qui appartiennent les données de ChatGPT ?
L’attention portée aujourd’hui à l’IA générative et à des applications comme ChatGPT ou MidJourney, illustre parfaitement les enjeux. Ces intelligences artificielles sont des moteurs dont les données sont le carburant. Les entreprises ont donc tout intérêt à conserver une maîtrise forte de leurs données, qui pourraient demain être aspirées par ces IA pour alimenter les algorithmes de machine learning. On voit déjà aujourd’hui des litiges apparaître devant les tribunaux concernant l’exploitation des données et les juridictions vont devoir trancher sur les questions de propriété intellectuelle qui en découlent. Mais les réponses ne seront peut-être pas les mêmes dans tous les pays. L’Italie a par exemple bloqué ChatGPT pendant un mois, avant d’autoriser à nouveau l’application d’OpenAI sur son territoire.
L’IA est un bon exemple, mais on pourrait également citer l’edge computing et l’internet des objets. Pour un industriel qui dote ses équipements de capteurs, les données liées à l’utilisation de ces équipements peuvent lui permettre de proposer des services additionnels aux utilisateurs, comme de la maintenance prédictive par exemple. Mais en est-il automatiquement propriétaire ?
Partant du principe que la donnée est aujourd’hui un asset absolument stratégique pour l’activité des entreprises et qu’elle va continuer à gagner en criticité dans les années à venir, il est crucial pour toutes les organisations de traiter dès maintenant ces questions de souveraineté. Toute la difficulté est à la fois de simplifier et fluidifier les échanges et l’exploitation des données, pour parvenir à en faire un business de manière éthique et moral, tout en protégeant ses intérêts et ceux de ses clients face à d’autres acteurs, sociétés privées ou États, qui pourraient en vouloir à ce patrimoine de manière plus ou moins agressive ; et pour le législateur de créer de la confiance sans créer un labyrinthe réglementaire.
Répondre à l’appel de la souveraineté !
Soyons clairs, d’un point de vue technologique, il est difficile de se limiter aux acteurs nationaux. On le voit par exemple avec les initiatives de cloud souverain portées par des organisations françaises et basées sur la technologie d’hyperscalers américains. Mais il y a des moyens de faire bouger les lignes. Mon premier conseil est de participer activement aux appels à projet lancés par la France et l’Europe. Pour que les instances puissent comprendre le business et le réglementer efficacement, elles ont besoin que les entreprises leur consacrent du temps. Ce sont des opportunités d’influer sur les décisions et de collecter de l’information.
Il existe par exemple sur le site du ministère de l’Enseignement supérieur et de la Recherche ou de la Commission européenne un appel à projets et des propositions de financement pour « Développer un cloud scientifique européen opérationnel, ouvert et équitable ». Ces appels trouvent parfois peu d’écho, par manque de temps des entreprises ou tout simplement par manque de visibilité, car ces initiatives manquent de promotion et restent assez méconnues. Les États et institutions supra-étatiques souhaitent favoriser l’émergence de champions nationaux. Et cela nécessite que les acteurs de l’industrie s’investissent.
Pas de maîtrise sans compétences
L’autre point clé de la souveraineté est celui de la compétence. La pénurie actuelle de compétences dans le numérique est une menace pour la souveraineté puisqu’elle empêche les organisations de maîtriser leur transformation digitale. Beaucoup d’entreprises se tournent vers les leaders du marché car ce sont des environnements connus de leurs collaborateurs, quand un « tech savvy » tout juste sorti d’école les auraient peut-être orientées vers une solution lean, ouverte et moins coûteuse. Les DSI ont évidemment besoin de profils expérimentés ! Mais il est important d’avoir une mixité de profils pour être au fait des alternatives technologiques aujourd’hui disponibles sur le marché et être capable de faire le pas de côté qui permettra de gagner en souveraineté.
Dans cette logique, la formation est donc naturellement un enjeu clé, pour les pouvoirs publics, qui doivent aider le monde éducatif à former les ingénieurs et développeurs dont notre économie a besoin, et pour les sociétés, qui devront faire monter en compétences leurs talents en interne et s’ouvrir à davantage de diversité. Si les acteurs publics et privés investissent et collaborent dans la même direction, la souveraineté numérique deviendra possible.
